聚焦ISO 9001:2015

聚焦ISO 9001:2015

編者按

本文發(fā)表于2014年9月的《質(zhì)量進(jìn)展》，作者桑福德?雷比斯曼（Sandford Liebesman）是美國(guó)新澤西桑福德質(zhì)量咨詢公司總裁，擁有30余年的質(zhì)量領(lǐng)域從業(yè)經(jīng)驗(yàn)，先后供職于貝爾實(shí)驗(yàn)室、朗訊科技和貝爾通信研究所。作為美國(guó)質(zhì)量協(xié)會(huì)的會(huì)員，曾擔(dān)任電子與通信委員會(huì)主席一職。從1984年至今，他一直是國(guó)際標(biāo)準(zhǔn)化組織質(zhì)量管理和質(zhì)量保證技術(shù)委員會(huì)美國(guó)技術(shù)顧問小組的成員。在此期間，他參與了所有版本的標(biāo)準(zhǔn)修訂工作。ISO 9001新版標(biāo)準(zhǔn)首次引入了“風(fēng)險(xiǎn)”概念，本文通過對(duì)ISO9001相關(guān)風(fēng)險(xiǎn)條款的詳細(xì)分析，說明如何增強(qiáng)企業(yè)的風(fēng)險(xiǎn)管理。包括風(fēng)險(xiǎn)的4種分類以及風(fēng)險(xiǎn)的分析方法。

近十年來，經(jīng)濟(jì)全球化為每個(gè)組織帶來許多前所未有的機(jī)遇。與此同時(shí)，組織也必須面對(duì)變化帶來的各種風(fēng)險(xiǎn)，其中包括互聯(lián)網(wǎng)以及服務(wù)廣泛向其他國(guó)家外包而引發(fā)的風(fēng)險(xiǎn)。為了適應(yīng)這些變化，組織必須采取一種基于風(fēng)險(xiǎn)的思維模式、應(yīng)對(duì)方式及其相關(guān)工具，來識(shí)別、管理并移除風(fēng)險(xiǎn)。對(duì)此，行之有效的手段一般包括界定組織目標(biāo)、分類風(fēng)險(xiǎn)、識(shí)別實(shí)現(xiàn)目標(biāo)所面臨的風(fēng)險(xiǎn)以及開發(fā)風(fēng)險(xiǎn)管理方法等要素。

lSO/DlS 9001∶2015中的“風(fēng)險(xiǎn)”元素

當(dāng)組織為了符合修訂標(biāo)準(zhǔn)的規(guī)定實(shí)施相應(yīng)調(diào)整時(shí)，將不可避免地受到ISO/DIS 9001∶2015所包含的許多基于風(fēng)險(xiǎn)的元素的影響。這里將歸納ISO/DIS 9001∶2015中的一些風(fēng)險(xiǎn)元素。

定義。ISO/DIS 9001∶2015將風(fēng)險(xiǎn)定義為“對(duì)預(yù)期結(jié)果的不確定性影響”。但國(guó)際標(biāo)準(zhǔn)草案（DIS）中并未涉及有關(guān)風(fēng)險(xiǎn)防范活動(dòng)的相關(guān)要求。

過程方法。過程方法是國(guó)際標(biāo)準(zhǔn)草案第4.4條重點(diǎn)討論的一項(xiàng)內(nèi)容，主要在于要求組織“確定質(zhì)量管理體系（QMS）所需的過程”并將其應(yīng)用于整個(gè)組織，這包括識(shí)別：

——投入、產(chǎn)出和資源；

——先后順序和相互作用；

——效率；

——職責(zé)和改進(jìn)的機(jī)會(huì)；

——風(fēng)險(xiǎn)和機(jī)遇以及必需的應(yīng)對(duì)措施。

客戶導(dǎo)向。第5.1.2條規(guī)定，最高管理層必須“通過確保……識(shí)別和應(yīng)對(duì)可能影響產(chǎn)品、服務(wù)及客戶滿意度提升能力的風(fēng)險(xiǎn)和機(jī)遇，證明其以客戶為導(dǎo)向的領(lǐng)導(dǎo)和承諾。”

風(fēng)險(xiǎn)和機(jī)遇的應(yīng)對(duì)措施。第6.1.1和6.1.2條規(guī)定，組織必須“確定風(fēng)險(xiǎn)和機(jī)遇”并妥善應(yīng)對(duì)，以確保質(zhì)量管理體系能夠：

——實(shí)現(xiàn)期望的結(jié)果；

——預(yù)防或減少非預(yù)期的影響；

——實(shí)現(xiàn)持續(xù)改進(jìn)。

為應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇所采取的措施必須考慮對(duì)產(chǎn)品、服務(wù)的合規(guī)性以及客戶滿意度的潛在影響。此外，組織應(yīng)該以“計(jì)劃性和系統(tǒng)性的方式”開展變革，識(shí)別風(fēng)險(xiǎn)和機(jī)遇，并評(píng)估變革活動(dòng)的可能結(jié)果。可選的風(fēng)險(xiǎn)應(yīng)對(duì)措施包括風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)源頭阻斷、風(fēng)險(xiǎn)分散以及決定是否承擔(dān)風(fēng)險(xiǎn)等。

交付后活動(dòng)。根據(jù)第8.5.5條，在標(biāo)準(zhǔn)適用的前提下，組織必須確定并滿足與產(chǎn)品和服務(wù)的屬性及預(yù)期生命周期相關(guān)的交付后活動(dòng)要求，具體包括：

——與產(chǎn)品和服務(wù)相關(guān)的風(fēng)險(xiǎn)；

——使用和生命周期；

——客戶反饋；

——法律法規(guī)要求。

管理評(píng)審。第9.3條規(guī)定，組織必須考慮風(fēng)險(xiǎn)和機(jī)遇應(yīng)對(duì)措施的有效性（參見第6.1條），其中包括：

——確定需要監(jiān)測(cè)和測(cè)量的對(duì)象，以使組織能夠證實(shí)產(chǎn)品和服務(wù)符合要求；

——評(píng)估過程績(jī)效（參見第4.4條）；

——確保質(zhì)量管理體系的合規(guī)性和有效性；

——評(píng)估客戶滿意度。

內(nèi)部審核。第9.2條規(guī)定，組織必須“規(guī)劃、建立、實(shí)施和維護(hù)一個(gè)或多個(gè)審核方案”，并設(shè)定“頻次、方法、職責(zé)，規(guī)劃審核要求，報(bào)告審核結(jié)果”。審核方案應(yīng)考慮質(zhì)量目標(biāo)、相關(guān)過程的重要性、關(guān)聯(lián)風(fēng)險(xiǎn)以及以往審核的結(jié)果。

基于風(fēng)險(xiǎn)的方法。附錄1第4條對(duì)基于風(fēng)險(xiǎn)的管理方法進(jìn)行了說明，其中包括：

——要求組織對(duì)所處環(huán)境進(jìn)行充分了解，例如所需面對(duì)的內(nèi)外部問題；

——認(rèn)識(shí)管理體系作為風(fēng)險(xiǎn)規(guī)避工具的重要作用；

——識(shí)別風(fēng)險(xiǎn)和機(jī)遇；

——應(yīng)對(duì)已識(shí)別的風(fēng)險(xiǎn)和機(jī)遇。

運(yùn)用基于風(fēng)險(xiǎn)的思維方式

影響組織的四類主要風(fēng)險(xiǎn)及其因素?cái)⑹鋈缦隆?/p>

1.組織風(fēng)險(xiǎn)

組織風(fēng)險(xiǎn)主要出現(xiàn)于組織的實(shí)體和活動(dòng)層面。實(shí)體層面的風(fēng)險(xiǎn)包含內(nèi)外兩個(gè)方面。外部風(fēng)險(xiǎn)因素包括技術(shù)、競(jìng)爭(zhēng)和立法。內(nèi)部風(fēng)險(xiǎn)因素則涉及安全、信息系統(tǒng)、進(jìn)出貨損失、員工能力和職責(zé)改變等。

活動(dòng)層面的風(fēng)險(xiǎn)將對(duì)組織的每個(gè)部門或職能單位產(chǎn)生影響，包括未納入系統(tǒng)的信息或物料、進(jìn)貨報(bào)告或發(fā)運(yùn)記錄的遺失、安全控制不力、員工技能不足或工作上的麻痹大意。一旦在整個(gè)組織內(nèi)部出現(xiàn)活動(dòng)層面的風(fēng)險(xiǎn)，最終將導(dǎo)致實(shí)體層面風(fēng)險(xiǎn)的不斷增長(zhǎng)。

2.戰(zhàn)略風(fēng)險(xiǎn)

戰(zhàn)略風(fēng)險(xiǎn)通常在組織的戰(zhàn)略或經(jīng)營(yíng)計(jì)劃存在缺陷時(shí)發(fā)生，是指因經(jīng)營(yíng)計(jì)劃或戰(zhàn)略的推行失敗而面臨的損失，其誘因可能在于經(jīng)營(yíng)決策失誤、決策執(zhí)行不力、資源分配不合理或未能及時(shí)應(yīng)對(duì)經(jīng)營(yíng)環(huán)境的變化。

3.合規(guī)風(fēng)險(xiǎn)

合規(guī)風(fēng)險(xiǎn)的源頭在于法律法規(guī)的相關(guān)要求。由于面臨處罰、停業(yè)或刑事訴訟的風(fēng)險(xiǎn)，組織必須對(duì)環(huán)境、健康和安全方面的法律法規(guī)要求給予足夠的重視。符合質(zhì)量和環(huán)境的標(biāo)準(zhǔn)及規(guī)格要求也屬于此類風(fēng)險(xiǎn)范疇。

環(huán)境風(fēng)險(xiǎn)既包括污水泄漏、廢氣排放及固態(tài)廢料的隨意處置，也涵蓋下列風(fēng)險(xiǎn)事件：

——采購(gòu)部門由國(guó)內(nèi)向國(guó)外的轉(zhuǎn)移；

——未更換一個(gè)關(guān)鍵的環(huán)境合規(guī)負(fù)責(zé)人；

——未能建立新材料的數(shù)據(jù)安全表。

4．運(yùn)營(yíng)風(fēng)險(xiǎn)

一般而言，運(yùn)營(yíng)風(fēng)險(xiǎn)主要包括七個(gè)類別：

（1）管理體系風(fēng)險(xiǎn)。管理體系可能會(huì)因戰(zhàn)略、實(shí)踐和工具、數(shù)據(jù)處理、呼叫中心、合同管理、設(shè)計(jì)和開發(fā)等環(huán)節(jié)存在的各種問題而降低效率。舉例而言，外包程度較高的供應(yīng)鏈可能會(huì)成為組織面臨的一個(gè)主要風(fēng)險(xiǎn)。

其他管理體系風(fēng)險(xiǎn)還包括收入認(rèn)定錯(cuò)誤、違反國(guó)土安全規(guī)定、不符合環(huán)境要求及相關(guān)法案。這些行為可能會(huì)導(dǎo)致組織面臨處罰、停業(yè)或刑事訴訟的風(fēng)險(xiǎn)。為了有效降低此類風(fēng)險(xiǎn)，組織的最高管理層及董事會(huì)應(yīng)對(duì)自身的管理體系了如指掌，并致力于不斷提升其運(yùn)作效率。

如果以下方面的活動(dòng)出現(xiàn)問題，組織的管理體系必將受到殃及：

——人力資源管理；

——管理工具；

——數(shù)據(jù)處理；

——呼叫中心；

——市場(chǎng)營(yíng)銷；

——合同管理；

——客戶溝通；

——設(shè)計(jì)與開發(fā)。

最高管理層和董事會(huì)應(yīng)該了解自身的管理體系并努力提升它的效率。

（2）客戶滿意風(fēng)險(xiǎn)。客戶滿意風(fēng)險(xiǎn)通常受到客戶溝通、延遲交付、產(chǎn)品、設(shè)計(jì)與維修、對(duì)客戶意見處理不力等問題的影響。為了降低這類風(fēng)險(xiǎn)，有關(guān)客戶滿意度方面的數(shù)據(jù)應(yīng)連同產(chǎn)品質(zhì)量數(shù)據(jù)、產(chǎn)品和過程監(jiān)控?cái)?shù)據(jù)、供應(yīng)商質(zhì)量反饋數(shù)據(jù)等一起納入分析過程。

（3）供應(yīng)鏈風(fēng)險(xiǎn)。采購(gòu)經(jīng)理必須對(duì)外包產(chǎn)品和服務(wù)、獨(dú)立供應(yīng)商、交付及時(shí)性、庫(kù)存管理和單據(jù)留存等問題給予足夠的重視。溝通工作對(duì)于供應(yīng)鏈的高效運(yùn)轉(zhuǎn)至關(guān)重要，用于管理供應(yīng)鏈風(fēng)險(xiǎn)的度量指標(biāo)一般包括交付時(shí)間、庫(kù)存水平及成本費(fèi)用。

（4）影響利潤(rùn)水平的收入認(rèn)定風(fēng)險(xiǎn)。管理此類風(fēng)險(xiǎn)主要在于從產(chǎn)品銷售、生產(chǎn)直至交付、轉(zhuǎn)化為應(yīng)收付款的各個(gè)環(huán)節(jié)進(jìn)行跟蹤。應(yīng)付賬款、應(yīng)收賬款、交付前收入記錄、報(bào)價(jià)-現(xiàn)金等出錯(cuò)、電子報(bào)表錯(cuò)誤以及不完整的價(jià)格信息都將對(duì)收入確認(rèn)產(chǎn)生影響。

質(zhì)量經(jīng)理對(duì)于有效控制收入認(rèn)定過程負(fù)有不可推卸的責(zé)任。組織的質(zhì)量管理體系與財(cái)務(wù)管理體系之間相互重疊，主要體現(xiàn)在產(chǎn)品實(shí)現(xiàn)、成本、銷售、發(fā)票、付款、庫(kù)存管理和交付等方面。有關(guān)貨物發(fā)運(yùn)的數(shù)據(jù)將直接計(jì)入應(yīng)收賬款并進(jìn)行收入確認(rèn)。對(duì)于一些組織而言，收入認(rèn)定方面存在的問題將對(duì)整體利潤(rùn)產(chǎn)生較大的沖擊，并可能進(jìn)一步造成股價(jià)的下跌。

此外，虛假的收入確認(rèn)還將引發(fā)重大錯(cuò)報(bào)風(fēng)險(xiǎn)。因此，審計(jì)人員應(yīng)對(duì)旨在發(fā)現(xiàn)收入認(rèn)定過程中造假行為的控制手段加以考察和完善。

（5）信息安全風(fēng)險(xiǎn)。此類風(fēng)險(xiǎn)主要包括病毒、不安全的文件、不準(zhǔn)確的財(cái)務(wù)記錄和報(bào)告、變革控制不足、信息檢索錯(cuò)誤、電子報(bào)表濫用、任用承包商和咨詢顧問、引進(jìn)新技術(shù)以及商業(yè)間諜和欺詐。

在ISO/IEC 27001∶2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》標(biāo)準(zhǔn)中，提出了建立、實(shí)施、運(yùn)營(yíng)、監(jiān)控、評(píng)估、維護(hù)及改進(jìn)信息安全管理體系的相關(guān)要求。

（6）物流風(fēng)險(xiǎn)。影響物流風(fēng)險(xiǎn)的因素如下所示：

——原材料和成品的運(yùn)輸；

——貨運(yùn)過程中的損毀；

——導(dǎo)致無法實(shí)現(xiàn)預(yù)期交付要求的延遲；

——導(dǎo)致物料短缺的延遲；

——國(guó)土安全信息要求。

為了有效降低物流風(fēng)險(xiǎn)，組織必須掌握能夠在不干擾供應(yīng)鏈的前提下監(jiān)視、跟蹤貨物的新手段。當(dāng)產(chǎn)品離開生產(chǎn)環(huán)節(jié)之后，組織必須克服一切物流方面的難題，將貨物及時(shí)、妥善地運(yùn)送至客戶手中。

（7）自然災(zāi)害風(fēng)險(xiǎn)。在過去幾年中，全球經(jīng)歷了各種各樣的自然災(zāi)害。為了滿足業(yè)務(wù)連續(xù)性的要求，組織必須確保信息安全地存儲(chǔ)于保護(hù)性設(shè)備中，并對(duì)災(zāi)后恢復(fù)做出提前規(guī)劃。

在業(yè)務(wù)連續(xù)性方面，信息技術(shù)發(fā)揮著至關(guān)重要的作用。信息技術(shù)程序應(yīng)該保證業(yè)務(wù)連續(xù)性能及時(shí)、有效地運(yùn)作。組織內(nèi)部的信息技術(shù)人員也應(yīng)成為業(yè)務(wù)連續(xù)發(fā)展團(tuán)隊(duì)的成員。

信息技術(shù)部門應(yīng)該提供信息的安全保存和保護(hù)性存儲(chǔ)，同時(shí)進(jìn)行管理和維護(hù)，提供安全性，以應(yīng)對(duì)各種自然災(zāi)害。具體的方法主要包括定期復(fù)制信息，并將其存儲(chǔ)在位于其他安全位置的備份系統(tǒng)中。存儲(chǔ)于此的數(shù)據(jù)應(yīng)該定期接受準(zhǔn)確性測(cè)試。

ISO/IEC 27001規(guī)定了針對(duì)業(yè)務(wù)連續(xù)性管理的控制標(biāo)準(zhǔn)。一項(xiàng)“業(yè)務(wù)連續(xù)性計(jì)劃”通常包含以下要素：

——業(yè)務(wù)風(fēng)險(xiǎn)與影響分析；

——對(duì)于災(zāi)害事件的初期應(yīng)對(duì)措施；

——管理突發(fā)事件的程序及業(yè)務(wù)恢復(fù)過程；

——多層面的培訓(xùn)計(jì)劃；

——不斷更新業(yè)務(wù)連續(xù)性計(jì)劃的流程。

業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)定期演練。對(duì)于業(yè)務(wù)連續(xù)性計(jì)劃，組織應(yīng)重點(diǎn)針對(duì)以下問題：

——是否制定書面計(jì)劃以確保信息過程的連續(xù)性？

——是否每年都會(huì)對(duì)計(jì)劃進(jìn)行更新和測(cè)評(píng)？何時(shí)進(jìn)行計(jì)算機(jī)硬件、軟件或應(yīng)用系統(tǒng)方面的重大改進(jìn)？

——是否定期測(cè)試備份媒介？

——是否定期備份應(yīng)用程序、應(yīng)用數(shù)據(jù)和操作系統(tǒng)軟件？

——是否將計(jì)劃副本和備份數(shù)據(jù)異地保存？

風(fēng)險(xiǎn)分析方法

當(dāng)組織確定自己的風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受度，以使全體成員了解風(fēng)險(xiǎn)理念時(shí)，即為風(fēng)險(xiǎn)分析的開端。在明確偏好和承受度之后，組織可以運(yùn)用相關(guān)工具確定風(fēng)險(xiǎn)水平并管理已知的風(fēng)險(xiǎn)。組織的控制機(jī)制是一項(xiàng)重要工具，特別是在《薩班斯—奧克斯利法案》合規(guī)方面表現(xiàn)突出。這種合規(guī)性一般是指在實(shí)體和活動(dòng)層面上的財(cái)務(wù)控制。

風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受

風(fēng)險(xiǎn)偏好是指組織實(shí)體愿意接受的風(fēng)險(xiǎn)總量，是一種可用來權(quán)衡業(yè)務(wù)風(fēng)險(xiǎn)回報(bào)的方法。對(duì)于《薩班斯—奧克斯利法案》合規(guī)性而言，風(fēng)險(xiǎn)偏好體現(xiàn)著領(lǐng)導(dǎo)高層的管理基調(diào)。根據(jù)美國(guó)反虛假財(cái)務(wù)報(bào)告委員會(huì)的發(fā)起組織委員會(huì)的說明，風(fēng)險(xiǎn)偏好對(duì)于形成控制環(huán)境的作用不容小覷。突破風(fēng)險(xiǎn)偏好的局限進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)是制定可供執(zhí)行的預(yù)防性措施的有效途徑。

風(fēng)險(xiǎn)偏好是針對(duì)已識(shí)別風(fēng)險(xiǎn)進(jìn)行資金分配的動(dòng)因之一。增加對(duì)于風(fēng)險(xiǎn)偏好的認(rèn)識(shí)可以提高組織內(nèi)部資金分配的有效性。風(fēng)險(xiǎn)偏好是風(fēng)險(xiǎn)承受能力的體現(xiàn)，其制約因素包括組織保持信用評(píng)級(jí)和達(dá)到規(guī)定資本要求所需的資金。

另一方面，風(fēng)險(xiǎn)承受與組織實(shí)體的特定目標(biāo)休戚相關(guān)。它主要是指組織實(shí)體樂于接受的與目標(biāo)相關(guān)的風(fēng)險(xiǎn)變動(dòng)水平。組織內(nèi)部不同職能的風(fēng)險(xiǎn)承受度各不相同。

風(fēng)險(xiǎn)偏好是一個(gè)組織實(shí)體范圍的更寬泛概念，而風(fēng)險(xiǎn)承受則更為聚焦。對(duì)于組織內(nèi)部不同的運(yùn)營(yíng)部門，風(fēng)險(xiǎn)承受度可能截然不同。但是，當(dāng)不同部門的風(fēng)險(xiǎn)承受度相互結(jié)合時(shí)，最終將形成由最高管理層和董事會(huì)所設(shè)定的整體風(fēng)險(xiǎn)偏好。

運(yùn)用控制機(jī)制

組織的控制機(jī)制是管理風(fēng)險(xiǎn)的重要手段之一。對(duì)于《薩班斯—奧克斯利法案》合規(guī)性而言，控制機(jī)制顯得更為重要。審計(jì)人員應(yīng)將組織的控制機(jī)制作為合規(guī)過程中的一項(xiàng)重要內(nèi)容予以考核。財(cái)務(wù)控制和質(zhì)量控制對(duì)于實(shí)體和活動(dòng)兩個(gè)層面而言不可或缺。質(zhì)量控制在ISO9001和ISO14001標(biāo)準(zhǔn)中均以“應(yīng)該”這種表述方式出現(xiàn)。“應(yīng)該”表述方式通常涉及提交數(shù)據(jù)。此外，一些過程績(jī)效要求還包括結(jié)果記錄，以用于識(shí)別迫近風(fēng)險(xiǎn)。

舉例而言，實(shí)體層面的控制機(jī)制包括：

——人力資源政策；

——行為準(zhǔn)則；

——溝通策略；

——會(huì)計(jì)政策；

——管理層的風(fēng)險(xiǎn)評(píng)價(jià)過程、組織結(jié)構(gòu)和合同審核。其中，合同審核要求涉及ISO/DIS 9001∶2015新版標(biāo)準(zhǔn)第8.2.3條“針對(duì)產(chǎn)品和服務(wù)相關(guān)要求的審核”中的內(nèi)容。

活動(dòng)層面的控制機(jī)制包括總賬與明細(xì)賬相符、數(shù)據(jù)的自動(dòng)驗(yàn)證和編輯檢查、保密信息的訪問限制、記賬之前編號(hào)交易、錄入之前對(duì)紙質(zhì)信息進(jìn)行審核和核準(zhǔn)。

活動(dòng)層面的質(zhì)量控制包括生產(chǎn)控制（第8.6.1條）、糾正不合格產(chǎn)品和服務(wù)的文件信息（第8.8條）以及對(duì)重要環(huán)境因素加以識(shí)別（ISO 14001∶2004第4.3.1條）。

風(fēng)險(xiǎn)和預(yù)防措施

有效的風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)包括：

——明確組織可衡量的目標(biāo)；

——確保目標(biāo)的相容性；

——確定實(shí)現(xiàn)目標(biāo)所面臨的風(fēng)險(xiǎn)；

——判斷風(fēng)險(xiǎn)的嚴(yán)重程度，風(fēng)險(xiǎn)分析矩陣可用于確定風(fēng)險(xiǎn)的危急程度；

——運(yùn)用風(fēng)險(xiǎn)管理工具降低風(fēng)險(xiǎn)，例如ORCA（目標(biāo)、風(fēng)險(xiǎn)、控制和融合）過程、ISO 9001改進(jìn)過程、失效模式及后果分析、風(fēng)險(xiǎn)控制矩陣等。

風(fēng)險(xiǎn)分析矩陣

風(fēng)險(xiǎn)分析矩陣是用于管理風(fēng)險(xiǎn)的一個(gè)重要工具。對(duì)于任何已識(shí)別的風(fēng)險(xiǎn)而言，風(fēng)險(xiǎn)的后果和發(fā)生概率都有賴于估算確定，然后再將估算數(shù)據(jù)代入風(fēng)險(xiǎn)分析矩陣（如表1所示）之中。

在確定每一風(fēng)險(xiǎn)的重要程度后，可以針對(duì)極高和較高的風(fēng)險(xiǎn)采取措施。根據(jù)ISO/DIS 9001∶2015新版標(biāo)準(zhǔn)規(guī)定，相關(guān)過程應(yīng)包括以下環(huán)節(jié)：

——采取措施控制并糾正不符合標(biāo)準(zhǔn)之處；

——評(píng)估移除風(fēng)險(xiǎn)根源所需的措施；

——實(shí)施改進(jìn)措施；

——評(píng)價(jià)措施的有效性；

——在必要時(shí)對(duì)質(zhì)量管理體系進(jìn)行調(diào)整。

ORCA模型

風(fēng)險(xiǎn)管理專家格雷戈?哈欽斯建議，可將ORCA模型作為一種組織風(fēng)險(xiǎn)評(píng)價(jià)方法善加利用。他指出：“這個(gè)模型得到廣泛的認(rèn)可和采用。它不僅植入了過程、內(nèi)部控制和系統(tǒng)稽核等其他類型的評(píng)價(jià)元素，還符合當(dāng)前以風(fēng)險(xiǎn)管理和運(yùn)營(yíng)效率為重點(diǎn)的公司治理要求。”

ORCA模型要求組織：

——明確組織目標(biāo)；

——識(shí)別并評(píng)價(jià)組織各層面的風(fēng)險(xiǎn)；

表1 風(fēng)險(xiǎn)分析矩陣

——建立均衡的控制體系以管理組織風(fēng)險(xiǎn)；

——確保整個(gè)組織的目標(biāo)、風(fēng)險(xiǎn)及控制手段相互協(xié)調(diào)。

在風(fēng)險(xiǎn)評(píng)價(jià)完成之后，高層和運(yùn)營(yíng)管理者應(yīng)該著手制定風(fēng)險(xiǎn)管理及業(yè)務(wù)決策實(shí)施方面的相關(guān)戰(zhàn)略。風(fēng)險(xiǎn)管理戰(zhàn)略包括風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)移除、風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)分散和風(fēng)險(xiǎn)控制。

ISO 9001改進(jìn)過程

ISO/DIS 9001∶2015新版標(biāo)準(zhǔn)第10.2條規(guī)定，組織應(yīng)針對(duì)以下方面改進(jìn)質(zhì)量管理體系：

——數(shù)據(jù)分析的結(jié)果；

——組織所處環(huán)境的改變；

——已識(shí)別風(fēng)險(xiǎn)的變化（參見第6.1條）；

——新的機(jī)遇。

失效模式及后果分析（FMEA）

FMEA是一種用于風(fēng)險(xiǎn)排序及采取預(yù)防性措施降低風(fēng)險(xiǎn)的方法，它可以檢查產(chǎn)品或過程可能出現(xiàn)的各種失效，幫助制定降低風(fēng)險(xiǎn)的矯正措施。

FMEA方法的首要步驟在于對(duì)相關(guān)系統(tǒng)各個(gè)環(huán)節(jié)的清晰描述。接下來應(yīng)確定每一環(huán)節(jié)出現(xiàn)失效時(shí)的后果。每一環(huán)節(jié)出現(xiàn)失效的概率和嚴(yán)重程度可以通過風(fēng)險(xiǎn)分析矩陣進(jìn)行評(píng)估。除此之外，還能識(shí)別失效檢測(cè)的控制能力。

為了杜絕或降低發(fā)生失效的可能性，或增強(qiáng)風(fēng)險(xiǎn)的洞察能力，組織必須制定有效的措施。最后，F(xiàn)MEA還可以幫助組織推行過程及產(chǎn)品的變革，從而杜絕潛在問題的出現(xiàn)。

表2 管理體系的失效風(fēng)險(xiǎn)

表3 客戶滿意風(fēng)險(xiǎn)

表4 供應(yīng)鏈風(fēng)險(xiǎn)

表5 收入認(rèn)定風(fēng)險(xiǎn)

ReliaSoft公司的卡爾?S.卡爾森將一個(gè)有效的FMEA過程歸納為11個(gè)步驟。這個(gè)步驟以制定戰(zhàn)略和資源計(jì)劃作為開始，然后是一系列通用步驟，包括設(shè)計(jì)管理評(píng)審、質(zhì)量審核、供應(yīng)商失效模式及后果分析、實(shí)施方法及后續(xù)的建議措施等。他的最后步驟包括軟件支持、關(guān)聯(lián)至其他過程和測(cè)試，以及對(duì)現(xiàn)場(chǎng)失效的后續(xù)跟蹤等。

表6 信息安全風(fēng)險(xiǎn)

表7 物流風(fēng)險(xiǎn)

表8 自然災(zāi)害風(fēng)險(xiǎn)

風(fēng)險(xiǎn)控制矩陣

風(fēng)險(xiǎn)控制矩陣是一種用于管理特定過程風(fēng)險(xiǎn)的工具。控制體系主要是為了識(shí)別對(duì)過程產(chǎn)生影響的個(gè)體風(fēng)險(xiǎn)的狀態(tài)。組織的管理者可以通過風(fēng)險(xiǎn)控制矩陣獲得對(duì)控制評(píng)估結(jié)果的直觀認(rèn)識(shí)。

采用基于風(fēng)險(xiǎn)的方法

ISO/DIS 9001∶2015新版標(biāo)準(zhǔn)具有強(qiáng)烈的風(fēng)險(xiǎn)導(dǎo)向性。組織基于風(fēng)險(xiǎn)的思維方式必須以可以衡量的目標(biāo)作為開始，風(fēng)險(xiǎn)是影響目標(biāo)實(shí)現(xiàn)進(jìn)程的阻礙。

組織必須確定自身的風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受度，以便獲得統(tǒng)一的風(fēng)險(xiǎn)理念。然后可以通過風(fēng)險(xiǎn)分析矩陣歸集事件概率及后果的方法來界定風(fēng)險(xiǎn)水平。

在《薩班斯—奧克斯利法案》合規(guī)過程中，應(yīng)該運(yùn)用自上而下、基于風(fēng)險(xiǎn)的方法構(gòu)建并測(cè)試控制手段，從而識(shí)別現(xiàn)有的缺陷和可能的重大錯(cuò)報(bào)。截至目前，修改后的ISO 9001和ISO 14001新版標(biāo)準(zhǔn)似乎為組織完善風(fēng)險(xiǎn)管理戰(zhàn)略提供了各種頗具價(jià)值的工具。

在閱讀完畢有關(guān)風(fēng)險(xiǎn)思維方法的基本內(nèi)容后，不妨利用本文的表格（見表2～表8）練習(xí)如何改進(jìn)組織的風(fēng)險(xiǎn)管理方法。